Ironie – InfoSec Blog | Patrick Sauer & Dominik Sauer

Problem Driven Project Management: Agil war gestern!

7. August 2014 by Patrick Sauer Leave a Comment

Problem Driven Project Management ist eine moderne alternative zu agilen Projektmanagement-Methoden. Während im Wasserfallmodell noch alles von oben herab durchgeplant werden muss und selbst bei agilen Methoden noch iterative Planungen durchgeführt werden müssen, fällt der Punkt Planung beim problemgetriebenen Projektmanagement einfach weg.

Durch die fehlende Planungsphase ergeben sich enorme Ressourcen- und damit auch Kosten-Einsparungen und es stellt sich automatisch eine sehr zielgerichtet Vorgehensweise ein: Aktuelle Probleme werden einfach priorisiert und danach abgearbeitet. Die Vorgehensweise ist zudem sehr intuitiv und orientiert sich direkt an den Bedürfnissen der Projektbeteiligten. Auch Kunden ziehen in der Regel einen problemgetriebenen Lösungsansatz einer ausführlichen Planung vor, die ohnehin nie eingehalten werden kann. Dadurch ergibt sich eine höhere Kundennähe und damit ultimativ eine höhere Kundenzufriedenheit.

Ausführliche Planungen, Projekt- und Teammeetings waren gestern. Das Problem Driven Project Management ist die perfekte Projektmanagement-Methode für alle, die agile Methoden immer noch für zu steif empfanden. Dieser einfache Ansatz verzichtet vollkommen auf Ausbildungen oder Zertifikate für Projektmanager – jeder kann nach dem problemgetriebenen Projektmanagement Erfolg haben!

In vielen Unternehmen wurde das Problem Driven Project Management bereits eingeführt, oftmals als direkte Reaktion auf die bisherigen komplexen planungs- und organisationsintensiven Managementmethoden. Agil war gestern, problem driven ist heute!

Jetzt einmal ohne heftigen Sarkasmus: Der obige Text ist natürlich totaler Schwachsinn – Ein Problem Driven Project Management ist nur die Verwaltung von Chaos. Wer sich darin wiedererkennt, sollte dringend handeln!

Der NSA-Skandal als Security Awareness-Kampagne

25. Oktober 2013 by Patrick Sauer Leave a Comment

Vielen Dank liebe NSA für diese herausragende Security Awareness-Kampagne in der deutschen Bevölkerung. Erst am Anfang einmal starke Aufmerksamkeit erwecken, dass unverschlüsselte Kommunikation abgehört werden kann. Korrektur, wird. Die meisten Deutschen wissen nun, dass die NSA durch PRISM mitlesen kann, wenn sie möchte. So arbeitet man klar heraus, warum man z.B. bei vertraulicher Kommunikation Verschlüsselung einsetzen sollte. In den Medien wimmelte es von Artikeln, wie man PGP oder ähnliches einrichtet. Ein perfekter Einstieg in die erste deutsche Security Awareness-Kampagne. Und das alles kostenlos.

Bevor wirklich wieder Ruhe einkehrt wird bekannt, dass die NSA angeblich auch Verschlüsselung brechen kann. Panik, nichts ist mehr vor der NSA sicher. Damit so eine Kampagne Erfolg hat, einfach immer mal wieder eine bisschen nachschießen. In wie weit diese Aussagen stimmen, sei einmal dahin gestellt und in den Medien wird viel Blödsinn berichtet. Egal, es kommt in den Köpfen an: Man muss starke Geschütze auffahren, wenn man der NSA etwas entgegensetzen möchte.

Der Skandal ebbt nun ab. Ach nein, stimmt ja gar nicht. Die NSA soll auch die Bundesregierung abhören. Perfekt, niemand ist vor der NSA sicher. Es ist nicht nur die eigene Privatsphäre bedroht, sondern auch die der deutschen Kanzlerin. Dass Frau Merkel eigentlich ein sicheres Mobiltelefon habe sollte, und sie manchen Presseberichten nach auch gerne mit gewöhnlichen Mobiltelefon kommuniziert, passt perfekt als Botschaft: Wer Krypto zur Verfügung hat und sie nicht einsetzt, ist selbst dran schuld. Die NSA hört und liest mit.

Danke NSA. Was kommt nächsten Monat? Vielleicht hat der BND die NSA bei der Abhöraktion von Frau Merkel unterstützt? Man darf gespannt sein.

Wer Ironie findet, darf sie gerne behalten.

Wie man unsichere Software schreibt

21. August 2013 by Patrick Sauer Leave a Comment

Wie schreibt man unsichere Software? Nichts einfacher als das:

Anforderungen an die Software nicht schriftlich festhalten. Somit kann man auch gar nicht in die Verlegenheit kommen, Sicherheitsanforderungen definieren zu müssen.
Tests sind etwas für Weicheier. Ohne Sicherheitsanforderungen braucht man Sicherheit ohnehin nicht zu testen. Sie ist schließlich kein zwingender Bestandteil einer Software.
Code-Review ist viel zu aufwendig und kostet nur Arbeitszeit. Echte Männer und Frauen schreiben sofort guten und sicheren Code. Alle anderen sind einfach unfähig.
Penetration Tests sind zu teuer. Wer schon einmal einen in Auftrag gegeben hat, weiß das. Software reift ohnehin beim Kunden. Die Penetration Tests übernehmen somit die Angreifer kostenlos.
Weiterbildungen im Bereich sicherer Softwareentwicklung braucht niemand. Know-how hat man, oder man hat es nicht. Basta.

Die Umsetzung der fünf Punkte erfolgt auf eigene Gefahr ;-).

Ironie: Benefits of being a CISSP

14. August 2013 by Patrick Sauer Leave a Comment

Ich finde das Video „Benefits of being a CISSP” ist eine schöne selbstironische Darstellung und Kritik an der CISSP-Zertifizierung. Sehenswert! Insbesondere für alle CISSP, die sich selbst zu wichtig nehmen. Der CISSP ist eine gute Zertifizierung zum Nachweis der eigenen Kompetenz und Erfahrung im Sicherheitsumfeld. Aber auch nicht mehr.